La nueva gobernanza europea de los datos: análisis jurídico del Data Act

ABREVIATURAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
INTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
PARTE I
FUNDAMENTOS Y EVOLUCIÓN NORMATIVA DEL DERECHO EUROPEO DE LOS DATOS
CAPÍTULO 1
EVOLUCIÓN NORMATIVA: DEL RGPD AL DATA ACT. . . . . . 35
Del mercado único digital al mercado único de los datos. . 35
Finalidad del Data Act: acceso justo, competencia e innovación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
La opción normativa del legislador europeo: rechazo del paradigma propietario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
El empoderamiento del usuario como eje del Reglamento 38
Compatibilidad con la protección de datos personales y los derechos fundamentales . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
El Data Act como norma de Derecho privado europeo . . . 39
Objeto y alcance del Data Act . . . . . . . . . . . . . . . . . . . . . . . . . 39
Datos, productos y servicios a los que se aplica el Data Act. . 42
Productos conectados (IoT). . . . . . . . . . . . . . . . . . . . 42
Servicios relacionados con el producto conectado . . 42
Tipos de datos incluidos: datos del producto, datos del servicio y metadatos . . . . . . . . . . . . . . . . . . . . . . 42
Datos y supuestos excluidos del Data Act . . . . . . . . . . . . . . . 43
Datos inferidos o derivados a partir de algoritmos complejos (conocimiento elaborado). . . . . . . . . . . . . 43
Contenidos protegidos por derechos de propiedad intelectual (y datos generados al reproducirlos). . . . 43
Servicios no relacionados (servicios auxiliares, asesoría, análisis, financieros) y exclusión de energía/ conectividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Infraestructura cloud «en nombre de terceros» (cuando el proveedor actúa como mero encargado/ operador neutro) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Exclusiones por razón de penal, aduanas, fiscalidad y funciones esenciales del Estado. . . . . . . . . . . . . . . . . . . . . . . . . . 45
«Sin perjuicio» y reglas de coordinación: RGPD/ePrivacy Directive, la propiedad intelectual y la materia de consumo. Contratos voluntarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
CAPÍTULO 2
DEL DATO PERSONAL AL DATO INDUSTRIAL: FUNDAMENTOS DE LA NUEVA GOBERNANZA EUROPEA . 53
Del dato como objeto de tutela al dato como recurso económico regulado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
El RGPD como estándar de protección: alcance y límites
para la economía del dato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
La libre circulación de datos no personales: del principio
a su insuficiencia práctica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
El Data Governance Act: institucionalización de la disponibilidad sin imponer acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . 56
La Estrategia Europea de Datos como programa: soberanía, disponibilidad y justicia del dato . . . . . . . . . . . . . . . . . . . 56
Complementariedad DGA-Data Act: arquitectura institucional y arquitectura sustantiva del acceso . . . . . . . . . . . . . 57
El núcleo dogmático del cambio: del «paradigma propietario» a los «data access rights» . . . . . . . . . . . . . . . . . . . . . . . . . 57
El Data Act como culminación funcional del ciclo normativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
CAPÍTULO 3
INTERACCIÓN DEL DATA ACT CON EL BLOQUE NORMATIVO DIGITAL EUROPEO: DMA, DSA, NIS2 Y AI ACT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Hacia un «Derecho común digital europeo»: el ecosistema digital europeo como sistema jurídico integrado . . . . . . . . . 61
El Digital Markets Act: competencia estructural y acceso a datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
El Digital Services Act: transparencia, trazabilidad y acceso a datos por interés público . . . . . . . . . . . . . . . . . . . . . . . . 63
La Directiva NIS2: seguridad, resiliencia y condiciones del acceso a datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
El Reglamento de Inteligencia Artificial: datos, entrenamiento y gobernanza del riesgo . . . . . . . . . . . . . . . . . . . . . . . . 64
Sinergias, solapamientos y riesgos interpretativos . . . . . . . 65
El Data Act como eje del nuevo Derecho común digital europeo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Consideraciones finales del capítulo . . . . . . . . . . . . . . . . . . . . 67
CAPÍTULO 4
DATOS, PROPIEDAD INTELECTUAL Y SECRETO
EMPRESARIAL: EL TRIÁNGULO ACCESO-PROTECCIÓNCOMPETENCIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Open Data, reutilización de la información del sector público y continuidad normativa con el Data Act. . . . . . . . . . . 69
Secretos empresariales: compatibilidad entre acceso obligatorio y protección de la información confidencial . . . . . . 71
Bases de datos y el derecho sui generis: la reforma introducida por el Data Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Jurisprudencia del Tribunal de Justicia y criterios de interpretación.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Cláusulas contractuales y medidas técnicas para la protección de secretos en intercambios obligatorios. . . . . . . . . 76
Conclusiones: hacia un equilibrio funcional entre acceso,
protección y competencia.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
PARTE II
ÁMBITO MATERIAL Y CONCEPTOS JURÍDICOS DEL DATA ACT
CAPÍTULO 5
ÁMBITO DE APLICACIÓN, ARQUITECTURA DEL REGLAMENTO Y DEFINICIONES CLAVE. . . . . . . . . . . . . . . . . . 83
Estructura del Data Act: lógica interna y técnica normativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Producto conectado y servicio relacionado: criterios jurídicos y frontera con software y servicios web . . . . . . . . . . . 84
Datos del producto y del servicio: datos brutos, derivados y metadatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Usuario, titular de datos y destinatario: estatuto jurídico y responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Datos personales y no personales: conjuntos mixtos y técnicas de minimización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Otros conceptos relevantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Exclusiones y límites: seguridad, confidencialidad y sectores sensibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Conclusiones: el Data Act como norma de delimitación conceptual del mercado del dato . . . . . . . . . . . . . . . . . . . . . . . 88
PARTE III
ACCESO Y UTILIZACIÓN DE DATOS EN RELACIONES B2C Y B2B
CAPÍTULO 6
ACCESO A DATOS «POR DISEÑO» Y DEBERES DE INFORMACIÓN: EL NUEVO ESTÁNDAR REGULATORIO. . . 91
El acceso a los datos como exigencia estructural «por diseño» y «por defecto» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Naturaleza jurídica de las obligaciones de diseño: entre deber técnico y deber jurídico . . . . . . . . . . . . . . . . . . . . . . . . . 92
Deberes de información precontractual: presupuesto del acceso efectivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Estándar jurídico de «facilidad» de acceso y prohibición de obstáculos estratégicos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Interacción con el Derecho de consumo y prácticas comerciales desleales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Función sistémica del acceso por diseño en la gobernanza del dato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
CAPÍTULO 7
EL DERECHO DEL USUARIO A ACCEDER, USAR Y COMPARTIR DATOS (B2C Y B2B) . . . . . . . . . . . . . . . . . . . . . . . . . 97
Contenido del derecho de acceso y de uso. . . . . . . . . . . . . . . 97
Derechos y obligaciones de los usuarios y titulares de datos respecto del acceso, la utilización y la puesta a disposición de los datos de productos y de los datos de servicios relacionados . .. . . . . 98
Derecho a compartir con terceros: alcance, condiciones y límites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Control del usuario y prohibición de restricciones indebidas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Relación con portabilidad RGPD y con DMA . . . . . . . . . . . . 104
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
CAPÍTULO 8
OBLIGACIONES DEL TITULAR DE DATOS AL PONERLOS A DISPOSICIÓN DE TERCEROS. . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Condiciones «FRAND» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Transparencia y trazabilidad del intercambio de datos . . . 108
Seguridad, confidencialidad y secreto empresarial . . . . . . . 109
Prohibiciones de uso y finalidad: control del downstream. 110
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
CAPÍTULO 9
COMPENSACIÓN: «PRECIO JUSTO» Y ESTRUCTURA DE INCENTIVOS EN EL MERCADO DEL DATO. . . . . . . . . . . . . . . . 113
Naturaleza jurídica de la compensación: coste frente a valor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Criterios de razonabilidad y límites . . . . . . . . . . . . . . . . . . . . 114
Modelos de cálculo: costes marginales, costes de infraestructura, valor añadido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Conflictos típicos y prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
CAPÍTULO 10
CLÁUSULAS ABUSIVAS Y CONTROL DE CONDICIONES NO NEGOCIADAS EN B2B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
La técnica del «unfairness test» y su justificación en el Data Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Lista negra y lista gris: tipologías contractuales de riesgo 120
Lista negra: cláusulas prohibidas per se . . . . . . . . . . . . . . . . 120
Lista gris: cláusulas presuntivamente abusivas . . . . . . . . . . 121
Efectos jurídicos: nulidad, inoponibilidad y remedios. . . . . 121
Coordinación con el Derecho nacional de contratos, competencia y consumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Función sistémica del control de cláusulas abusivas en la gobernanza del dato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Conclusión crítica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
PARTE IV
ACCESO B2G Y NECESIDAD EXCEPCIONAL
CAPÍTULO 11
ACCESO A DATOS POR EL SECTOR PÚBLICO: NECESIDAD EXCEPCIONAL, LÍMITES Y GARANTÍAS . . . . . 131
Justificación de la vía B2G y su ratio en el sistema del Data Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Concepto de necesidad excepcional frente a emergencia pública . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Procedimiento, motivación y principio de proporcionalidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Compensación y costes del acceso B2G . . . . . . . . . . . . . . . . . 135
Protección de datos personales, secretos empresariales y seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
PARTE V
CLOUD/EDGE, TRANSFERENCIAS INTERNACIONALES E INTEROPERABILIDAD
CAPÍTULO 12
CAMBIO DE PROVEEDOR Y SALIDA DEL LOCK-IN: SWITCHING EN SERVICIOS DE TRATAMIENTO DE DATOS 139
Objetivo del régimen de switching: competencia efectiva en cloud y Edge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Ámbito subjetivo y objetivo del régimen de cambio de proveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Obligaciones del proveedor: migración, asistencia y continuidad del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Eliminación progresiva de costes de switching y calendario regulatorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Interoperabilidad y estándares como presupuesto del switching efectivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Coordinación con el DMA, NIS2 y soberanía digital europea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
CAPÍTULO 13
SALVAGUARDAS FRENTE A ACCESOS ILÍCITOS Y TRANSFERENCIAS INTERNACIONALES . . . . . . . . . . . . . . . . . . 147
Riesgo de acceso extraterritorial: autoridades de terceros
Estados y conflicto normativo . . . . . . . . . . . . . . . . . . . . . . . . . 147
Medidas organizativas y técnicas: evaluación, transparencia y notificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Relación con el RGPD y continuidad normativa . . . . . . . . . 149
Acceso ilícito, responsabilidad y tutela jurídica . . . . . . . . . . 150
Dimensión estratégica: soberanía digital y autonomía normativa de la Unión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
CAPÍTULO 14
INTEROPERABILIDAD: ESTÁNDARES, APIS Y GOBERNANZA TÉCNICA DEL MERCADO DEL DATO . . . . . . 151
Interoperabilidad técnica y semántica como presupuesto jurídico del Data Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Normalización y organismos competentes: del «soft law» al «hard law» funcional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
APIs, formatos y requisitos de apertura: contenido mínimo de la obligación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Interoperabilidad y competencia: barreras estratégicas y riesgos de cierre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Espacios de datos (data spaces) y gobernanza técnica sectorial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Problemas interpretativos y retos de aplicación práctica . 155
PARTE VI
TUTELA, RECLAMACIONES, AUTORIDADES Y RÉGIMEN SANCIONADOR
CAPÍTULO 15
GOBERNANZA INSTITUCIONAL, COOPERACIÓN ADMINISTRATIVA Y APLICACIÓN DEL REGLAMENTO. . . . 159
Autoridades competentes y diseño institucional del Data Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Coordinación entre autoridades nacionales: competencia, protección de datos, digital, ciberseguridad e IA . . . . . . . . . 160
Cooperación transfronteriza y coherencia en el mercado interior. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Vías de reclamación y procedimientos administrativos . . . 162
Prueba, auditoría y medidas cautelares . . . . . . . . . . . . . . . . . 162
Función sistémica de la gobernanza administrativa en la efectividad del Data Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
CAPÍTULO 16
SANCIONES Y TUTELA JUDICIAL EFECTIVA. . . . . . . . . . . . . . 165
Régimen sancionador del Data Act: tipologías, principios y proporcionalidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Criterios de graduación de las sanciones . . . . . . . . . . . . . . . . 166
Responsabilidad civil y contractual por incumplimientos del Data Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Acciones de cesación, medidas correctoras y remedios judiciales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Tutela judicial efectiva y acceso a la justicia . . . . . . . . . . . . 167
PARTE VII
CASOS DE USO, IMPACTO SECTORIAL Y CONCLUSIONES
CAPÍTULO 17
IMPACTO PRÁCTICO Y SECTORES: IOT INDUSTRIAL, AUTOMOCIÓN, SALUD, SMART CITIES Y SERVICIOS DIGITALES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Función del análisis sectorial en la arquitectura del Data Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
IoT industrial y mantenimiento/posventa: datos como infraestructura competitiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Automoción conectada y ecosistemas de reparación . . . . . 174
Salud y espacios de datos: acceso, usos secundarios y ética. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Smart cities: función pública, derechos y riesgos de function creep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Servicios digitales y plataformas: nuevos mercados de intermediación de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Conclusiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
CAPÍTULO 18
CONCLUSIONES GENERALES Y AGENDA DE FUTURO . . . . 179
Balance general: del paradigma de protección al de acceso justo y gobernanza del dato . . . . . . . . . . . . . . . . . . . . . . . . . 179
Tensiones estructurales del sistema: secretos, propiedad intelectual, ciberseguridad y competencia . . . . . . . . . . . . . . 180
El papel de las autoridades y de los tribunales: hacia una jurisprudencia del dato. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Recomendaciones prácticas para operadores, reguladores y legislador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Perspectivas de futuro: soft law, estándares y un posible «Código Europeo del Dato» . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Conclusión final . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
BIBLIOGRAFÍA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
LEGISLACIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
JURISPRUDENCIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
ANEXOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191